Jump to content

dexter

Forum Members
  • Posts

    930
  • Joined

  • Last visited

  • Days Won

    3

Posts posted by dexter

  1. Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/

    Хорошо, ход ваших мыслей понятен. Спасибо. Сегодня попробую.

    А если туннельному интерфейсу оставить security level private?

    От разработчиков может кто комментарий оставит или от пользователей.

  2. Всем привет. Помогите разобраться с ACL.

    Есть 2 сети 192.168.2.0/24 и удаленная 192.168.3.0/24. Между кинетиками проброшен IPIP/IPSec туннель 192.168.254.254/30 c security level private.

    Туннель поднялся и работает(проверял через "no isolate-private").

    Подскажите как мне прописать ACL.

    Мне нужно прописать на каждом из  кинетиков 2 ACL на интерфейс "Home" вида:

    Там где подсеть 192.168.2.0/24:

    Первый ACL

    (config)> access-list local-out
    
    (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24
    
    (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24

    Второй ACL:

    (config)> access-list remote-in
    
    (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24
    
    (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24

    И привязать его к Home интерфейсу:

    (config)> interface Home
    (config-if)> ip access-group local-out out
    (config-if)> ip access-group remote-in in

     Там где подсеть 192.168.3.0/24 зеркально:

    Первый ACL

    (config)> access-list local-out
    
    (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24
    
    (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24

    Второй ACL:

    (config)> access-list remote-in
    
    (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24
    
    (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24

    И привязать его к Home интерфейсу:

    (config)> interface Home
    (config-if)> ip access-group local-out out
    (config-if)> ip access-group remote-in in

    Вчера я в веб интерфейсе правилами фаервола добился, что бы пинговалось, но сетевая шара не открылась. При "no isolate-private" открывается.

  3. Выплыла непонятная проблема с туннелями. 

    Два дня подряд на данном роутере падают туннели. При этом первый раз упали не в одно время, а сегодня ночью оба сразу.

    Ниже сообщением будет только лог с log сервера, т.к. сегодня не мог снять селф-тест. 

    Когда эта проблема возникла первый раз, при снятии селф-теста, в момент его сохранения на компьютер, вебка роутера зависла и помогла только перезагрузка. При этом cli продолжал работать. 

  4. Столкнулся с проблемой. Есть 2 удаленных кинетика. К каждому проброшен IPIP туннель. Иногда нужно выходить в инет через удаленный роутер. Так вот через один выход работает, а через второй сегодня не заработало.

    Перетаскиваю свой комп в нужный профиль, а вместо нормальной трассировки "звезды" в консоли. 

    Сам туннель работает, т.к. к удаленному кинетику я доступ имею.

    Ниже будет селф-тест для понимания картины. Если нужно скину рисунок и другую отладочную информацию.

     

  5. При попытке SSH соединения в лог сыпется запись:

    Сен 28 14:02:53 dropbear
    Child connection from 192.168.100.10:53843
    Сен 28 14:02:53 dropbear
    Exit before auth from <192.168.100.10:53843>: No matching algo mac c->s

    Соединение при этом не устанавливается.

    Эта же ошибка и на 2.16.D.6.0-1.

  6. 39 минут назад, vst сказал:

    @dexter Не могли бы вы прочитать содержимое файла "more temp:/run/tsmb/users_db.txt" в момент воспроизведения проблемы? Там должна быть одна запись:

     

    ~ # cat /tmp/run/tsmb/users_db.txt
    cat: can't open '/tmp/run/tsmb/users_db.txt': No such file or directory
    
    ~ # cat /tmp/run/
    cifs/                dropbear/            monitor/             ndhcpc-eth2.2        ndm.core.socket      ndm.http2.socket     ndmComponents.js     nqnd.pid
    cleanupneigh.fb      igmp-join            ndhcpc-apcli0        ndhcpc-eth2.2.pid    ndm.event.socket     ndm.https.socket     nlldo.fb             printers/
    dhcp-lease           igmp-leave           ndhcpc-apclii0       ndm.auth.socket      ndm.feedback.socket  ndm.scgi.socket      nqcs.pid             wmond.map
    ~ # cat /tmp/run/

    Это на проблемном.

    А там где работает Ultra 2:

    ~ # cat /tmp/run/tsmb/users_db.txt
    guest:31d6cfe0d16ae931b73c59d7e0c089c0::501:root
    ~ #


     

  7. "access vlan" может быть только один на порт. В один порт  "switchport access vlan 1690" в другой порт "switchport access vlan 1694".

    По идее должно заработать и без "'interface FastEthernet0/Vlan1690" и "interface FastEthernet0/Vlan1694", т.к. происходит в рамках одного физического свитча.

  8. Вы пригнали вланы

    interface FastEthernet0/0
        rename 0
        role inet for ISP
        switchport mode access
        switchport mode trunk
        switchport access vlan 2
        switchport trunk vlan 1690
        switchport trunk vlan 1694
        up
    !

    и дальше их пустили в 

    interface FastEthernet0/1
        rename 1
        switchport mode access
        switchport mode trunk
        switchport access vlan 1
        switchport trunk vlan 1690
        switchport trunk vlan 1694
        up
    !

    За этим портом управляемый свитч, который эти вланы дальше по "access" портам раскрывает? Приставка ТВ в какой порт воткнута? Она должна тэгированный трафик принимать?

  9. Через cli:

    interface GigabitEthernetX/X
        switchport mode trunk
        switchport trunk vlan X
        switchport trunk vlan Y

    где "Х" название и номер нужного интерфейса/порта.

    vlan "X", vlan "Y" номер вашего влана.

    Нужно прописать на входящем и исходящем порту. Роутер у Вас Lite III?

  10. Проблема из темы 

     

    В логах постоянно:

    Feb 17 10:28:21 ip-ip.bikovo-17.home ndm: Hotspot::Account: IPv4 address 192.168.30.1 belongs to multiple hosts:
    Feb 17 10:28:21 ip-ip.bikovo-17.home ndm: Hotspot::Account:  --> 00:08:9b:e9:1d:ac (00:08:9b:e9:1d:ac) on Bridge0.
    Feb 17 10:28:21 ip-ip.bikovo-17.home ndm: Hotspot::Account:  --> 00:08:9b:e9:1d:ad (00:08:9b:e9:1d:ad) on GigabitEthernet0/Vlan31.

    С предыдущей темы топология не менялась. НАС с 2 сетевыми картами, которые в разных acces vlan и в разных портах на кинетике.

    В какой момент нужны селф-тесты.

    Прошивка 3.5 alpha 8, но и на предыдущих такое же поведение.

  11. Проблема присутствует довольно давно, в данный момент fw 3.5 alpha 8.

    Проблема в том, что временами со счетчика трафика порта прилетает некорректное значение.

    06-14-20 10:06:01 <rxpackets>789715</rxpackets> <txpackets>449612</txpackets>
    06-14-20 10:07:01 <rxpackets>807266</rxpackets> <txpackets>459172</txpackets>
    06-14-20 10:08:01 <rxpackets>39691</rxpackets> <txpackets>469686</txpackets>
    06-14-20 10:09:01 <rxpackets>843293</rxpackets> <txpackets>479579</txpackets>
    06-14-20 10:10:01 <rxpackets>860061</rxpackets> <txpackets>489044</txpackets>

    Такая картина происходит на всех 4 портах устройства.

    Во вложении 4 лог файла по номеру каждого порта. 

    Данные сняты с помощью утилиты ndmq "show interface GigabitEthernet0/x stat"

    0.txt 1.txt 2.txt 3.txt

  12. KN-1910  на 3.5 Alpha 6 отваливается инет на iphone 7.

    Выглядит это так, все перестает открываться c iphone  и сам он не пингуется. Потом пинги начинают идти и опять потери.

    В логах кинетика при этом тишина. 

    Какая ещё нужна отладочная информация?

    На виве включен роуминг и бэндстиринг.

    И сам пинг когда он пингуется не менее 50-60мс. В 3 метрах от роутера.

×
×
  • Create New...